Android ransomware Lockdroid koristi dropper kao malveri za računare

Mobilni telefoni, 09.02.2017, 01:30 AM

Android ransomware Lockdroid koristi dropper kao malveri za računare

Ozloglašeni ransomware Lockdroid dobio je novu funkciju, koja nije neobična za malvere za računare, ali nikada nije viđena kod ransomwarea za Android.

Nova verzija malvera dobila je dropper komponentu koja služi kao izviđač koji isporučuje odgovarajući payload - ransomware, u zavisnosti od inficiranog uređaja.

Dropperi su prisutni već godinama. Reč je o malverima male veličine koji imaju mali broj funkcija. Jedna od njih je inficiranje uređaja koga je dropper već inficirao, pošto najpre skenira lokalni sistem da bi na kraju preuzeo opasnije malvere.

Dropperi se koriste sa bankarskim trojancima, backdoor trojancima, trojancima za daljinski pristup (RAT), ransomwareima, u sajber špijunaži i APT kampanjama.

Na mobilnim uređajima dropperi se sve do nedavno nisu koristili često kao na računarima, sve dok pojedini autori malvera, kao što je napredni adware Humming Bad, nisu počeli da ih koriste.

Kada je u pitanju ransomware za Android, do sada nijedna familija nije koristila droppere. To se promenilo pre neki dan, kada su istraživači iz kompanije Symantec primetili da nova verzija ransomwarea Lockdroid koristi dropper.

Autori Lockdroida kriju dropper u Android aplikacijama koje se distribuiraju preko nezvaničnih prodavnica i preko linkova koji se šalju putem SMS poruka, kao i preko spam poruka na forumima.

Ako korisnik instalira neku od malicioznih aplikacija na telefonu, dropper obavlja proveru da li je telefon rootovan. Ako nije, on koristi dozvole koje je već dobio da bi zaključao ekran telefona i zatim od žrtve traži da plati. Plaćanje otkupnine se prikazuje na ekranu kao 2D bar kod.

Drugi scenario je sledeći: dropper komponenta Lockdroida je na rootovanom telefonu i traži administratorska prava od korisnika. Da bi ih dobio, korisniku se obećava da će dobiti pristup pornografskim snimcima.

Ako korisnik pristane, dropper će iskoristiti novi root pristup koji je dobio da bi preuzeo ransomware Lockdroid koji će se postaviti kao važna sistemska aplikacija.

Ransomware zaključava ekran onim istim 2D bar kodom, ali s obzirom da ransomware sada ima administratorska prava na rootovanom uređaju, ekran je skoro nemoguće otključati bez reinstaliranja operativnog sistema.

Problem je i što žrtvama treba drugi telefon da bi skenirale bar kod na inficiranom uređaju. Žrtve se radije odluče da reinstaliraju operativni sistem nego da pozajme od nekog telefon kojim bi skenirali bar kod, zbog straha da će neko videti zahtev za plaćanje ransomwarea koji ima pornografsku tematiku.

Proteklih nekoliko godina, Lockdroid je jedan od najaktivnijih ransomwarea, mada nije naročito uspešan.

Ipak, ovo nije prvi put da Lockdroid koristi nove tehnike da bi prevario korisnike. Ranije je koristio lažnu dugmad iznad pravih da bi mu žrtve dale administratorska prava na starijim verzijama Androida.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zašto bi trebalo da pažljivo birate antivirus za svoj smart telefon

Zašto bi trebalo da pažljivo birate antivirus za svoj smart telefon

Pametno je zaštititi Android telefon antivirusnim softverom, ali je pitanje koji je pravi? Prema AV-Comparatives, koji je testirao 250 antivirusnih a... Dalje

200 aplikacija u Google Play prodavnici zaraženo adwareom SimBad

200 aplikacija u Google Play prodavnici zaraženo adwareom SimBad

Istraživači firme Check Point pronašli su u Google Play prodavnici novi mobilni adware sakriven u stotinama Android aplikacija koje su preuzete vi... Dalje

Adware aplikacije sa Google Play simuliraju deinstalaciju a ostaju na uređaju

Adware aplikacije sa Google Play simuliraju deinstalaciju a ostaju na uređaju

Tri adware aplikacije otkrivene u Google Play prodavnici koriste poseban trik kako bi sebi osigurale prisustvo na uređaju na duže vreme. Oni su pred... Dalje

Messenger je prva Facebookova aplikacija koja dobija ''dark mode''

Messenger je prva Facebookova aplikacija koja dobija ''dark mode''

Dva dana pošto je na Redditu najavljen “dark mode” za Facebook Messenger, društvena mreža objavila je ažuriranje za iOS i Android apli... Dalje

Google poboljšao Google Play zaštitu na Androidu, ali da li je to dovoljno?

Google poboljšao Google Play zaštitu na Androidu, ali da li je to dovoljno?

Google je napravio izmene u Google Play Protectu kako bi bolje zaštitio korisnike Androida od zlonamernih aplikacija. Google Play Protect je funkcija... Dalje